Кризис — нелегкая пора для отделов информационной безопасности. Во время увольнений, особенно массовых, отдельные недовольные служащие стараются унести со своего бывшего места работы все, до чего смогут дотянуться. Поэтому специалисты по информационной безопасности должны контролировать процесс увольнения, чтобы не возникло неприятностей. Увольняемого необходимо «на всякий случай» удалить из корпоративных приложений, лишить доступа к корпоративной электронной почте, доступа в Internet, возможности напечатать или еще как-то прихватить с собой информацию.

У банков перечисленные проблемы стоят еще более остро, чем у компаний других отраслей, ведь информация для них является основным активом, а от работоспособности информационной системы зависит работа всего банка. Возможно, поэтому семинар «Роль информационной безопасности в ИТ-инфраструктуре банка», который провела 19 марта компания R-Style Softlab, собрал довольно представительную аудиторию.

Несмотря на важность защиты банковской информации, по данным Центробанка России, половина банков фактически не заботится о безопасности своей информационной системы. Еще 42% имеют специалистов по информационной безопасности в составе ИТ-департаментов. И только в 8% банков созданы отделы информационной безопасности, как это предписано стандартами.

Особенностью банковских систем защиты являются средства, встроенные в саму автоматизированную банковскую систему. Основную роль в ней играет механизм контроля доступа сотрудников к информационным активам банка. На семинаре были представлены средства защиты банковской системы RS-Bank самой R-Style Softlab. В ней защиту обеспечивают две основные подсистемы — механизм управления доступом и механизм прикладного применения криптографии. Первый дает администраторам систем безопасности возможность выдавать пользователям полномочия на доступ к определенным объектам АБС, объединять их в группы и приписывать роли. Для задания правил управления доступом предложен специальный язык описания ограничений. Механизм прикладного применения криптографии отвечает за управление ЭЦП и криптографической защитой информации, которая в АБС выполнена с использованием внешних сертифицированных криптопровайдеров.

В RS-Bank есть модуль, который позволяет интегрировать систему управления учетными записями пользователей с пакетом Oracle Identity&Access Management Suite. Продукт интегрируется с различными прикладными системами, в которых производится учет пользователей для встроенной системы управления полномочиями. Продукт был сертифицирован компанией во ФСТЭК как средство защиты, которое может быть использовано в системах класса до 1Г и для защиты персональных данных до второго класса включительно. Подобные системы управления учетными записями пользователей позволяют банкам оперативно ограничить доступ сотрудников к важной информации и защитить ее от кражи или искажения.


Как утекают данные

Распределение каналов утечки по количеству зафиксированных инцидентов. Из выявленных каналов самый «популярный» — Internet. Однако в трети случаев механизм утечки выявить не удалось

Источник: InfoWatch, 2009